Bridge-Modus
aus Fuerstenland-Wireless, der freien Wissensdatenbank
Ziel: Ein offenes Netzwerk, bei dem kein Benutzer durch eine NAT belästigt wird. Jeder Nutzer bzw. jedes Netzwerkgerät soll ohne weitere Konfiguration mit jedem anderen Nutzer/Gerät kommunizieren können.
Hier mein eMail an die Mailingliste, bei Gelegenheit muss ich den Text noch etwas Wiki-mässig formatieren:
Von: Stefan Braun <sbraun@freesurf.ch> An: openwireless.ch mailingliste <list@openwireless.ch> Betreff: Re: [openwireless] Gedanken zu NAT in Openwireless Datum: Thu, 21 Dec 2006 23:57:55 +0100
Am Samstag, den 16.12.2006, 00:39 +0100 schrieb Stefan Braun:
> -Ohne NAT im Netzwerk können die Openwireless-Teilnehmer schnell und
> unkompliziert Dienste anbieten (Webcam, Webserver) und nutzen (Voice
> over IP, Windows Dateifreigabe).
> Nachteil: Wenn die Leute ihre PCs nicht absichern, setzen sie sich einem
> grösseren Risiko aus und können direkt angegriffen werden... Das ist IMO
> das Risiko, wenn man bei einem offenen Netzwerk mitmacht!
Habe mein Testsetup (2 * WRT, 2* WL500G) umkonfiguriert:
-OLSR-Bereich 192.168.255.0/24 -jeder Knoten besitzt ein kleines IP-Subnetz mit 16 IP-Adressen -Bridge zwischen WLAN und LAN aktiviert -DHCP-Server für WLAN und LAN teilen den gleichen IP-Pool -mittels HNA werden die kleinen IP-Subnetze im OLSR angekündigt, damit die einzelnen IPs per Routing erreichbar sind
Beispiel-Konfiguration: -Drahtlos: IP=192.168.255.1, Netzmaske=255.255.255.0 -LAN: IP=192.168.255.1, Netzmaske=255.255.255.240, DHCP-Start-IP=192.168.255.2, DHCP-Benutzeranzahl=13 -OLSR: HNA4=192.168.255.0/32, Broadcast IPv4=192.168.255.255
Testaufbau:
[Knoten1] <Funk1> [Knoten2] <Kabel> [Knoten3] <Funk2> [Knoten4]
-Knoten1 hat Internetverbindung -"Funk1" und "Funk2" sind der gleiche WLAN-Kanal, jedoch verschiedene SSIDs -das Kabel ist bei Knoten2 und Knoten3 jeweils bei einem "LAN"-Port eingesteckt
Ergebnis:
-alle IPs und Ports sind ohne Firewall erreichbar
-DHCP-Nutzer am LAN sowie am WLAN können einander direkt erreichen
-sobald die Kabelverbindung zwischen den zwei Knoten hergestellt ist,
sind alle vier Knoten ohne Änderung der Konfiguration miteinander
verbunden, alle Knoten tauchen in der OLSR-Routingtabelle auf
-jeder Knoten kann ins Internet
-da nur noch IPs aus dem OLSR-Bereich und keine NAT mehr vorkommen,
müsste alles super-einfach sein....
Probleme:
-bei meinem Testsetup sind alle Knoten per Bridges und einem Switch auf
Ethernet-Ebene miteinander verbunden, somit "sieht" jeder Knoten jede
OLSR-Rundsendung von jedem anderen Knoten
-Datenverbindungen von Knoten1 zu Knoten4 sind enorm langsam (7kByte/s),
vielleicht wird die Datenrate durch die zwei WLAN-Strecken auf dem
gleichen WLAN-Kanal ausgebremst. Realistischer sind Nebeneffekte mit dem
Bridging und gleichzeitigen Routing: ein Client am Knoten4 bekommt bei
112 Pings ins Internet alle Antworten und zusätzlich noch 690 Duplikate
zurück!!!! :-(
-ein DHCP-Client bekommt vom schnellsten DHCP-Server eine IP, bei meinem
Aufbau könnte jeder Knoten eine IP an jeden Client verteilen (egal ob
der Client am WLAN oder LAN ist). In einem Städtenetz wäre es
verheerend, wenn der DHCP-Request vom LAN über die starke Antenne am
Router bei einem umliegenden Router eine IP auslöst; so würde die
Netzlast ansteigen und es würden DHCP-IP-Adressen reserviert, die nicht
mehr an die umliegenden Notebook-WLAN-Nutzer verteilt werden könnten.
-da zwei Notebook-WLAN-Nutzer am gleichen Router im gleichen IP-Subnetz
hängen, wollen sie direkt über WLAN ohne Routing miteinander
kommunizieren. Dies würde nicht klappen, wenn beide Kontakt zum Router
haben, sie sich jedoch gegenseitig nicht hören können.
Ich dachte zuerst, ich hätte eine Super-Konfiguration gefunden, fand
dann aber einige schwerwiegende Probleme. Ich werde am Ball bleiben und
noch etwas weiter probieren, denn ein NAT-freies Netz würde ich sehr
begrüssen.
MfG,
Stefan Braun.
